„Made in Germany“ ist immer noch eine Marke für Qualität, die Vertrauen schafft. Wenn es um Informationstechnik geht, gelingt das aber nur, wenn die Hersteller das Risiko von im Ausland gefertigter Komponenten adäquat behandeln. Möglich ist das beispielsweise mit dem Konzept „Security-by-Design“. Das Ergebnis sind innovative Lösungen, die höchste Sicherheit für Unternehmen bieten.
Immer mehr deutsche Unternehmen denken darüber nach, keine IT-Lösungen ausländischer Hersteller mehr für kritische Anwendungsfälle zu nutzen. Sie wollen damit möglichen Sicherheitsrisiken entgegentreten. Stattdessen wird verstärkt auf Lösungen deutscher Unternehmen gesetzt. Denn in Deutschland gefertigte IT-Produkte unterliegen unter anderem strengen Datenschutz-Vorgaben und sie werden ohne staatliche Vorgaben in Bezug auf versteckte Zugänge produziert.
Wenn IT-Sicherheits-Anbieter in Deutschland auf solche Hintertüren verzichten und sich an einen entsprechenden Kriterienkatalog halten, werden sie mit dem Siegel „IT-Security Made in Germany“ des IT-Sicherheitsverbandes Teletrust belohnt. „Made in Germany“ schafft also auch die Basis für vertrauenswürdige IT-Produkte. Doch wie realistisch ist es, IT vollständig mit in Deutschland entwickelten und gefertigten Komponenten herzustellen?
Der Markt für Betriebssysteme, Halbleiter oder Kommunikationssysteme wird von internationalen Anbietern dominiert. Um ein leistungsfähiges IT-System herzustellen, werden daher Lösungen von Intel, Huawei, Microsoft oder anderen Marktführern benötigt. Hinzu kommt: Die Lieferketten sind heute so komplex, dass nicht immer nachvollziehbar ist, wo und wie eine Teilkomponente gefertigt wurde. Selbst wenn ein Unternehmen also seine wesentliche Wertschöpfung nach Deutschland verlagert, kann es nicht zu 100 Prozent auf im Ausland gefertigte Anteile verzichten.
IT-Sicherheit auf dem Reißbrett
Wird IT-Security „Made in Germany“ damit zu einem stumpfen Schwert? Nicht unbedingt. Wer bereits bei der Planung seines Produktes das Risiko von nicht in Deutschland hergestellten oder programmierten Komponenten im Blick hat, kann wirksame Vorkehrungen treffen und das Produktdesign grundlegend nach hohen Sicherheits-Standards auslegen. Diese Vorgehensweise folgt dem Prinzip „Security-by-Design“. Der Ansatz denkt IT-Sicherheit bereits auf dem Reißbrett mit. Produkten wird die Sicherheit nicht im Nachhinein übergestülpt. Sie verfügen stattdessen bereits über eine sichere Architektur – von der Hardware bis zur Anwendung an der Nutzerschnittstelle.
Eine umfassende Risikoanalyse und ein kontinuierliches Risikomanagement, das den gesamten Lebenszyklus eines Produktes oder eines Services umfasst, sind entscheidende Bestandteile dieses Vorgehens. Dabei sollen alle potenziellen Schwachstellen aufgedeckt werden. Das kann bspw. ein bestimmter Chip eines ausländischen Herstellers sein oder eine nicht vertrauenswürdige bzw. nicht einschätzbare Software-Komponente. Gibt es keine Alternative zu diesen Komponenten, wird das Design des Produktes so angelegt, dass möglichen Angriffsvektoren, die auf diese Komponenten abzielen, an anderer Stelle die Grundlage entzogen wird.
Gewisse Schwachstellen in Prozessoren lassen sich beispielsweise nur dann von Angreifern nutzen, wenn diese zum Beispiel über das Betriebssystem angesteuert werden können. Kommen in kritischen Umgebungen Betriebssysteme zum Einsatz, die auf wesentliche Funktionen beschränkt sind und ein auf Sicherheit ausgerichtetes Design haben, ist das tatsächliche Risiko, das von der Schwachstelle im Prozessor ausgeht, deutlich geringer. Ein Beispiel für ein solches sicheres Betriebssystem ist der Ansatz von Mikrokern-Betriebssystemen. Dieses Beispiel zeigt, wie sich durch einen ganzheitlichen und von Anfang an mitgedachten Sicherheitsansatz Qualität und Vertrauenswürdigkeit erhöhen lassen.
Mit Security-by-Design gewinnt „Made in Germany“ mehr Schlagkraft. Und für Anbieter ist das Konzept ein wichtiger Wettbewerbsvorteil. Denn nur, wenn Sicherheit zum zentralen Baustein von IT-Systemen wird, bleibt „Made in Germany“ auch im Umfeld der IT eine vertrauensvolle Marke.
